Datenschutzerklärung
1. Präambel
Die im Mai 2016 veröffentlichte Datenschutz-Grundverordnung (DSGVO) regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie den freien Verkehr solcher Daten und ersetzt die Richtlinie 95/46/EG, die durch das Gesetz zum Schutz personenbezogener Daten, Gesetz Nr. 67/98 vom 26. Oktober, in das portugiesische Rechtssystem umgesetzt wurde. Dieses Gesetz wurde anschließend durch das Gesetz Nr. 58/2019 vom 8. August aufgehoben, das die Anwendung der DSGVO im nationalen Hoheitsgebiet sicherstellt.
Die Verabschiedung dieses Regelwerks soll das Vertrauen der Bürgerinnen und Bürger in öffentliche und private Stellen stärken, indem ein stabileres, klareres und vorhersehbareres Rechtsregime geschaffen wird und die zuvor bestehenden Unterschiede zwischen den nationalen Rechtsvorschriften der verschiedenen Mitgliedstaaten beendet werden.
Die DSGVO bringt wesentliche Änderungen in der Beziehung zwischen Verantwortlichen und betroffenen Personen mit sich, auch im Arbeitsverhältnis.
Die Sorge um die Privatsphäre seiner Mitarbeitenden ist für WABI SABI AFRICA kein neues Thema, da das Unternehmen seine Tätigkeiten stets unter Wahrung der grundlegendsten Rechte seiner Mitarbeitenden ausgeübt hat. Hinweise auf diese Sorge finden sich in bestehenden internen Regelungen, die den Mitarbeitenden alle relevanten Informationen bereitstellen.
Diese Regelung soll die Sorge um den Schutz personenbezogener Daten bereichsübergreifend konkretisieren, indem sie auf die gesamte interne Struktur des Unternehmens angewendet wird, und außerdem die Bedingungen klären, unter denen personenbezogene Daten verarbeitet werden, gemäß den in Artikel 5 der DSGVO beschriebenen Grundsätzen.
Kapitel I – Allgemeine Bestimmungen
Klausel 1 – Geltungsbereich
Diese Regelung gilt für alle Mitarbeitenden, interne wie externe, unabhängig von der Art ihres Verhältnisses zu WABI SABI AFRICA, nachfolgend WABI SABI AFRICA genannt, sowie für deren Geschäftsführung und Mitglieder des Verwaltungsrats.
Diese Regelung führt die von WABI SABI AFRICA durchgeführten Verarbeitungsvorgänge personenbezogener Daten, die Voraussetzungen ihrer Rechtmäßigkeit sowie die Aufbewahrungsfristen auf und berücksichtigt dabei die grundlegenden Prinzipien des Schutzes personenbezogener Daten und die uneingeschränkte Achtung der Rechte der betroffenen Personen.
Diese Regelung legt die Rechte und Pflichten der Mitarbeitenden von WABI SABI AFRICA in Bezug auf die Verarbeitung personenbezogener Daten fest und dient zugleich als Leitlinie für die Pflichten des Unternehmens als Verantwortlicher.
Klausel 2 – Begriffsbestimmungen
Für die Zwecke dieser Regelung und der Datenschutz-Grundverordnung (DSGVO) gelten die folgenden Begriffsbestimmungen:
a) „Personenbezogene Daten“: Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, Online-Kennungen oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
b) „Verarbeitung“: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder mit Sätzen personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
c) „Verantwortlicher“: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet – in diesem Fall ist der Verantwortliche TSMARTS;
d) „Auftragsverarbeiter“: eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
e) „Gesundheitsdaten“: personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen, einschließlich der Erbringung von Gesundheitsdienstleistungen, und aus denen Informationen über den Gesundheitszustand dieser Person hervorgehen;
f) „Aufsichtsbehörde“: die Nationale Datenschutzkommission (CNPD);
g) „Einwilligung“ der betroffenen Person: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Kapitel II – Verarbeitung personenbezogener Daten
Klausel 3 – Rechtmäßigkeit der Verarbeitung personenbezogener Daten
Die Verarbeitung personenbezogener Daten, die TSMARTS im Beschäftigungskontext durchführt, stützt sich auf die folgenden Rechtsgrundlagen:
a) Erforderlichkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, nämlich des Arbeitsvertrags, gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO;
b) Erfüllung rechtlicher Verpflichtungen gemäß Artikel 6 Absatz 1 Buchstabe c DSGVO, in Übereinstimmung mit dem portugiesischen Arbeitsgesetzbuch und im Bereich der Arbeitsmedizin mit dem Gesetz Nr. 102/2009;
c) Berechtigtes Interesse des Verantwortlichen in Fällen, die die Nutzung von Videoüberwachungssystemen, interne Mitteilungen an Mitarbeitende sowie die Erhebung von Bildern von Mitarbeitenden bei internen TSMARTS-Veranstaltungen betreffen, gemäß Artikel 6 Absatz 1 Buchstabe f DSGVO;
d) Einwilligung der betroffenen Person im Fall von Werbemitteilungen sowie der Nutzung von Mitarbeiterbildern für Werbevideos oder externe Kommunikation;
e) Verarbeitung besonderer Kategorien personenbezogener Daten, sei es im Rahmen arbeitsmedizinischer und präventiver Untersuchungen, Alkohol- und Tests auf psychoaktive Substanzen oder der Datenverarbeitung infolge des Abschlusses verpflichtender Versicherungen, gestützt auf Artikel 9 Absatz 2 Buchstaben b und h DSGVO.
Die personenbezogenen Daten von Kundinnen und Kunden, Lieferanten oder Dritten, die von WABI SABI AFRICA verarbeitet werden, werden auf der Grundlage der folgenden Rechtsgrundlagen verarbeitet:
a) Erforderlichkeit zur Erfüllung eines Vertrags zum Zweck der Verwaltung von Verträgen mit Kundinnen und Kunden gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO;
b) Berechtigtes Interesse des Verantwortlichen für den Versand von Mitteilungen über Kampagnen und Werbeaktionen im Zusammenhang mit Produkten und Dienstleistungen, die mit der Kundin/dem Kunden abgewickelt wurden, institutionelle Mitteilungen oder Mitteilungen, die unter „soziale Nutzung“ mit Dritten fallen, zu denen TSMARTS eine institutionelle Beziehung unterhält, sowie für die Nutzung von Videoüberwachungssystemen;
c) Erfüllung einer rechtlichen Verpflichtung, insbesondere der Rechnungsstellung, gemäß Decreto-Lei Nr. 28/2019 vom 15. Februar;
d) Verarbeitung auf Grundlage der von der Kundin/dem Kunden erteilten Einwilligung für andere Situationen.
Klausel 4 – Datenerhebung
Die Erhebung von Daten zur anschließenden Verarbeitung muss gemäß der geltenden Gesetzgebung und den bekannten Best Practices erfolgen.
Bei der Datenerhebung sind die Rechte der betroffenen Personen, die Rechtsgrundlage, die die Verarbeitung erlaubt, der Zweck der Erhebung sowie die Einhaltung vertraglicher oder gesetzlicher Verpflichtungen zu berücksichtigen.
Wann immer verfügbar, sollte ein spezielles, für die Datenerhebung vorgesehenes Formular verwendet werden.
Wenn kein spezielles Formular vorhanden ist, muss die Datenerhebung den Kriterien der Notwendigkeit und Unentbehrlichkeit der angeforderten Informationen folgen.
Die Verwendung erhobener Daten für spätere Zwecke, sofern sie nicht auf einer Einwilligung beruht, muss die in Artikel 6 Absatz 4 DSGVO festgelegten Bedingungen erfüllen.
Klausel 5 – Weitergabe personenbezogener Daten an Dritte
WABI SABI AFRICA kann Auftragsverarbeiter beauftragen, um Dienstleistungen zu erbringen, die die Verarbeitung personenbezogener Daten beinhalten, und stellt durch Verträge gemäß Artikel 28 DSGVO die Einhaltung der Datenschutzgrundsätze und der Rechte der betroffenen Personen sicher.
Zur Erfüllung gesetzlicher Verpflichtungen ist TSMARTS verpflichtet, personenbezogene Daten von Mitarbeitenden an zuständige öffentliche Stellen zu übermitteln, wobei diese Übermittlung auf die unbedingt erforderlichen Daten beschränkt wird.
Jede andere Offenlegung personenbezogener Daten an Dritte muss die in der DSGVO und den einschlägigen Rechtsvorschriften festgelegten gesetzlichen Grenzen einhalten.
Klausel 6 – Technische und organisatorische Maßnahmen
Die Verarbeitung personenbezogener Daten durch WABI SABI AFRICA wird durch eine Reihe technischer und organisatorischer Maßnahmen geregelt, insbesondere:
a) Benennung eines Datenschutzbeauftragten und Veröffentlichung seiner Kontaktdaten;
b) Einrichtung von Mechanismen zur Beantwortung von Anträgen zur Ausübung der Rechte betroffener Personen;
c) Festlegung von Zugriffsprofilen auf Systeme und Datenträger, die personenbezogene Daten enthalten;
d) Einrichtung spezieller Kanäle zur Reaktion auf Vorfälle mit personenbezogenen Daten, insbesondere die E-Mail-Adresse rgpd@tnord.pt;
e) Erstellung von Verfahren zur Durchführung von Datenschutz-Folgenabschätzungen, wann immer dies gesetzlich erforderlich ist oder von der Geschäftsleitung beschlossen wird;
f) Einhaltung der Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Artikel 25 DSGVO.
Klausel 7 – Sicherheit der Verarbeitung
Alle Verarbeitungen personenbezogener Daten, die in der Verantwortung von WABI SABI AFRICA erfolgen, entsprechen technologischen und prozessualen Maßnahmen, die die Sicherheit gewährleisten sollen – unabhängig davon, ob sie intern oder extern umgesetzt werden.
Personenbezogene Daten in physischer (Papier-)Form genießen dasselbe Sicherheitsniveau wie Daten, die in digitaler Form gespeichert sind.
Klausel 8 – Sicherheitsmaßnahmen
Je nach Art und Merkmalen der Verarbeitung wendet WABI SABI AFRICA Maßnahmen an, um:
a) unbefugten Zugriff auf Dokumente mit personenbezogenen Daten zu verhindern;
b) unbefugtes Lesen, Kopieren, Verändern oder Vernichten von Datenträgern zu verhindern;
c) die Nachvollziehbarkeit von Zugriffen auf Datenträger mit personenbezogenen Daten sicherzustellen.
Jede Mitarbeiterin/jeder Mitarbeiter, jede Direktorin/jeder Direktor oder jede Führungskraft von WABI SABI AFRICA verpflichtet sich, diese Regelung einzuhalten, insbesondere:
a) keine Systempasswörter offenzulegen;
b) Passwörter nicht automatisch zu speichern;
c) „Clean-Desk“-Regeln anzuwenden;
d) elektronische Geräte verantwortungsvoll zu nutzen, einschließlich Abmelden bei Abwesenheit, Vermeiden öffentlicher Netzwerke und Nichtinstallation nicht autorisierter Software.
Klausel 9 – Vertraulichkeitsverpflichtung
Alle personenbezogenen Daten, die von TWABI SABI AFRICA verarbeitet werden, unterliegen Vertraulichkeitspflichten.
Gemäß dem Prinzip der geringsten Privilegien ist der Zugriff auf Daten auf das strikt Notwendige für die jeweiligen Aufgaben beschränkt.
Alle Mitglieder von WABI SABI AFRICA verpflichten sich, die in den Punkten a) bis l) aufgeführten Vertraulichkeits- und Sicherheitsverpflichtungen einzuhalten.
Klausel 10 – Verletzungen des Schutzes personenbezogener Daten
Alle Verletzungen des Schutzes personenbezogener Daten werden gemäß den festgelegten Verfahren behandelt.
Vermutete oder bestätigte Verletzungen müssen an rgpd@tnord.pt gemeldet werden.
Jede Verletzung muss dem Datenschutzbeauftragten innerhalb von 24 Stunden nach Feststellung gemeldet werden.
Kapitel III – Rechte der betroffenen Personen
Klausel 11 – Einhaltung der Rechte betroffener Personen
Betroffene Personen müssen zum Zeitpunkt der Datenerhebung gemäß Artikel 13 DSGVO informiert werden.
Betroffene Personen haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit, vorbehaltlich gesetzlicher Einschränkungen.
Anträge müssen innerhalb von 24 Stunden nach Eingang an den Datenschutzbeauftragten weitergeleitet werden.
Kapitel IV – Verarbeitung personenbezogener Daten im Beschäftigungskontext
Klausel 12 – Zeitmanagement und Zugang
Die Anwesenheitskontrolle erfolgt über eine Mitarbeiterkarte, die nur den Namen und die Identifikationsnummer der Mitarbeiterin/des Mitarbeiters enthält.
Der Zugang zu sensiblen Bereichen ist auf autorisiertes Personal beschränkt.
Listen des autorisierten Personals werden bei Bedarf überprüft.
Klausel 13 – Personalmanagement
Mitarbeiterdaten können zur Erfüllung gesetzlicher Verpflichtungen an öffentliche Stellen und Ausbildungseinrichtungen weitergegeben werden.
Die Daten werden ein Jahr nach Beendigung des Vertrags aufbewahrt, sofern keine gesetzlichen oder gerichtlichen Anforderungen gelten.
Klausel 14 – Zugriff auf E-Mail-Konten
WABI SABI AFRICA kann auf die E-Mail-Konten ehemaliger Mitarbeitender ausschließlich zugreifen, um relevante geschäftliche Informationen wiederherzustellen.
Der Zugriff muss vom Datenschutzbeauftragten überwacht werden.
E-Mail-Konten werden nach der Wiederherstellung wesentlicher Informationen dauerhaft gelöscht.
Klausel 15 – Arbeitsmedizin
Arbeitsmedizinische Tätigkeiten werden gemäß Gesetz Nr. 102/2009 durchgeführt.
Die Verarbeitung stützt sich auf Artikel 9 Absatz 2 Buchstabe h DSGVO.
Die Daten werden fünf Jahre lang vom verantwortlichen Arzt aufbewahrt.
Klausel 16 – Verarbeitung von Mitarbeiterbildern
Videoüberwachung wird zu Sicherheitszwecken auf Grundlage eines berechtigten Interesses eingesetzt.
Die werbliche Nutzung von Bildern erfordert eine vorherige Einwilligung.
Bilder von internen gesellschaftlichen Veranstaltungen werden auf Grundlage eines berechtigten Interesses verarbeitet, mit dem Recht auf Widerspruch.
Klausel 17 – Identifizierung externer Dienstleister
Externes Personal, das auf dem Gelände von TSMARTS arbeitet, muss sich an der Rezeption mit rechtlich zulässigen Mitteln ausweisen.
Schlussbestimmungen
Klausel 20 – Haftung
Jeder Verstoß gegen diese Regelung kann disziplinarische, zivilrechtliche oder strafrechtliche Haftung nach sich ziehen.
Klausel 21 – Lücken
Etwaige Auslassungen werden gemäß der DSGVO, der Rechtsprechung des Gerichtshofs von Tansania, den Leitlinien des Tansanian Data Protection Board (EDPB) sowie den Leitlinien der nationalen Aufsichtsbehörde geklärt.
Diese Regelung führt die von WABI SABI AFRICA durchgeführten Verarbeitungsvorgänge personenbezogener Daten, die Voraussetzungen ihrer Rechtmäßigkeit sowie die Aufbewahrungsfristen auf und berücksichtigt dabei die grundlegenden Prinzipien des Schutzes personenbezogener Daten und die uneingeschränkte Achtung der Rechte der betroffenen Personen.
Diese Regelung legt die Rechte und Pflichten der Mitarbeitenden von WABI SABI AFRICA in Bezug auf die Verarbeitung personenbezogener Daten fest und dient zugleich als Leitlinie für die Pflichten des Unternehmens als Verantwortlicher.
b) Erfüllung rechtlicher Verpflichtungen gemäß Artikel 6 Absatz 1 Buchstabe c DSGVO, in Übereinstimmung mit dem portugiesischen Arbeitsgesetzbuch und im Bereich der Arbeitsmedizin mit dem Gesetz Nr. 102/2009;
c) Berechtigtes Interesse des Verantwortlichen in Fällen, die die Nutzung von Videoüberwachungssystemen, interne Mitteilungen an Mitarbeitende sowie die Erhebung von Bildern von Mitarbeitenden bei internen TSMARTS-Veranstaltungen betreffen, gemäß Artikel 6 Absatz 1 Buchstabe f DSGVO;
d) Einwilligung der betroffenen Person im Fall von Werbemitteilungen sowie der Nutzung von Mitarbeiterbildern für Werbevideos oder externe Kommunikation;
e) Verarbeitung besonderer Kategorien personenbezogener Daten, sei es im Rahmen arbeitsmedizinischer und präventiver Untersuchungen, Alkohol- und Tests auf psychoaktive Substanzen oder der Datenverarbeitung infolge des Abschlusses verpflichtender Versicherungen, gestützt auf Artikel 9 Absatz 2 Buchstaben b und h DSGVO.
b) Berechtigtes Interesse des Verantwortlichen für den Versand von Mitteilungen über Kampagnen und Werbeaktionen im Zusammenhang mit Produkten und Dienstleistungen, die mit der Kundin/dem Kunden abgewickelt wurden, institutionelle Mitteilungen oder Mitteilungen, die unter „soziale Nutzung“ mit Dritten fallen, zu denen TSMARTS eine institutionelle Beziehung unterhält, sowie für die Nutzung von Videoüberwachungssystemen;
c) Erfüllung einer rechtlichen Verpflichtung, insbesondere der Rechnungsstellung, gemäß Decreto-Lei Nr. 28/2019 vom 15. Februar;
d) Verarbeitung auf Grundlage der von der Kundin/dem Kunden erteilten Einwilligung für andere Situationen.
Bei der Datenerhebung sind die Rechte der betroffenen Personen, die Rechtsgrundlage, die die Verarbeitung erlaubt, der Zweck der Erhebung sowie die Einhaltung vertraglicher oder gesetzlicher Verpflichtungen zu berücksichtigen.
Wann immer verfügbar, sollte ein spezielles, für die Datenerhebung vorgesehenes Formular verwendet werden.
Wenn kein spezielles Formular vorhanden ist, muss die Datenerhebung den Kriterien der Notwendigkeit und Unentbehrlichkeit der angeforderten Informationen folgen.
Die Verwendung erhobener Daten für spätere Zwecke, sofern sie nicht auf einer Einwilligung beruht, muss die in Artikel 6 Absatz 4 DSGVO festgelegten Bedingungen erfüllen.
Zur Erfüllung gesetzlicher Verpflichtungen ist TSMARTS verpflichtet, personenbezogene Daten von Mitarbeitenden an zuständige öffentliche Stellen zu übermitteln, wobei diese Übermittlung auf die unbedingt erforderlichen Daten beschränkt wird.
Jede andere Offenlegung personenbezogener Daten an Dritte muss die in der DSGVO und den einschlägigen Rechtsvorschriften festgelegten gesetzlichen Grenzen einhalten.
b) Einrichtung von Mechanismen zur Beantwortung von Anträgen zur Ausübung der Rechte betroffener Personen;
c) Festlegung von Zugriffsprofilen auf Systeme und Datenträger, die personenbezogene Daten enthalten;
d) Einrichtung spezieller Kanäle zur Reaktion auf Vorfälle mit personenbezogenen Daten, insbesondere die E-Mail-Adresse rgpd@tnord.pt;
e) Erstellung von Verfahren zur Durchführung von Datenschutz-Folgenabschätzungen, wann immer dies gesetzlich erforderlich ist oder von der Geschäftsleitung beschlossen wird;
f) Einhaltung der Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Artikel 25 DSGVO.
Personenbezogene Daten in physischer (Papier-)Form genießen dasselbe Sicherheitsniveau wie Daten, die in digitaler Form gespeichert sind.
b) unbefugtes Lesen, Kopieren, Verändern oder Vernichten von Datenträgern zu verhindern;
c) die Nachvollziehbarkeit von Zugriffen auf Datenträger mit personenbezogenen Daten sicherzustellen.
b) Passwörter nicht automatisch zu speichern;
c) „Clean-Desk“-Regeln anzuwenden;
d) elektronische Geräte verantwortungsvoll zu nutzen, einschließlich Abmelden bei Abwesenheit, Vermeiden öffentlicher Netzwerke und Nichtinstallation nicht autorisierter Software.
Gemäß dem Prinzip der geringsten Privilegien ist der Zugriff auf Daten auf das strikt Notwendige für die jeweiligen Aufgaben beschränkt.
Alle Mitglieder von WABI SABI AFRICA verpflichten sich, die in den Punkten a) bis l) aufgeführten Vertraulichkeits- und Sicherheitsverpflichtungen einzuhalten.
Vermutete oder bestätigte Verletzungen müssen an rgpd@tnord.pt gemeldet werden.
Jede Verletzung muss dem Datenschutzbeauftragten innerhalb von 24 Stunden nach Feststellung gemeldet werden.
Betroffene Personen haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit, vorbehaltlich gesetzlicher Einschränkungen.
Anträge müssen innerhalb von 24 Stunden nach Eingang an den Datenschutzbeauftragten weitergeleitet werden.
Der Zugang zu sensiblen Bereichen ist auf autorisiertes Personal beschränkt.
Listen des autorisierten Personals werden bei Bedarf überprüft.
Die Daten werden ein Jahr nach Beendigung des Vertrags aufbewahrt, sofern keine gesetzlichen oder gerichtlichen Anforderungen gelten.
Der Zugriff muss vom Datenschutzbeauftragten überwacht werden.
E-Mail-Konten werden nach der Wiederherstellung wesentlicher Informationen dauerhaft gelöscht.
Die Verarbeitung stützt sich auf Artikel 9 Absatz 2 Buchstabe h DSGVO.
Die Daten werden fünf Jahre lang vom verantwortlichen Arzt aufbewahrt.
Die werbliche Nutzung von Bildern erfordert eine vorherige Einwilligung.
Bilder von internen gesellschaftlichen Veranstaltungen werden auf Grundlage eines berechtigten Interesses verarbeitet, mit dem Recht auf Widerspruch.